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Abstract 



The method involves transferring a data block (DAT) from the chip card (CHK) to a credit or debit point. 
The data block includes a bank balance (GUT), stored in the chip card, a key (K), and a balance certificate 
(CER). The validity of the transferred balance is checked using the certificate. A new balance is calculated 
by addition or subtraction of an amount of money. Using a coding algorithm, based on a key which is valid 
for both parties, a new certificate (NCER) is generated. The new balance and the new certificate are stored 
in the chip-card. 

Pref. a message authentification code (MAC) is formed for each transferred data block. 
USE/ADVANTAGE - For payment card used for banking or as telephone card. Chipcard actively prevents 
manipulation, and recognises manipulation at credit/debit points. 
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Beschreibung 

Die Prozessorchipkarte ist fur eine Vielzahl von An- 
wendungen — z. B. POS-Banking, Rechnerzugang, Te- 
iefonkarte — geeignet. Beschrankt man sich auf die An- 
wendungen der Chipkarte als Zahlungsmittel, dann kon- 
nen prinzipiell zwei Anwendungsarten unterschieden 
werden: 

— die Kreditanwendung; dabei werden beim Wa- \ 
renaustausch Buchungsdaten, wie z. B. Kontonum- 
mern ausgetauscht und Oberweisungsauftrage er- 
teilt 

— die Debitanwendung; dabei werden beim Wa- 
renaustausch geldwerte Informationen aus der i 
Karte "entnommen", z. B. werden bei der Telefon- 
karte bereits beim Kartenerwerb bezahlte, auf der 
Karte gespeicherte Gebuhreneinheiten geloscht. 
Sind alle Gebuhreneinheiten geloscht, dann ist die 
Karte wertlos und wird entsorgt 21 

Urn die Anwendung der Chipkarte im Debitbereich 
preisguns tiger zu ges taken, gibt es Verfahren, mit denen 
man bestimmte Bereiche der Chipkarte wieder aufladen 
kann. ,, Ve^b^auchte ,, Chip karte n werden dem ausgeben- 25 
den Institut zuruckgegeben. Diese Institute verfugen 
uber die Kenntnis und die Fahigkeit, die Chipkarten 
wieder mit geldwerter Information zu laden. 

Ein solches Vorgehen ist aber verhaltnismaBig um- 
standlich. Solche Debit-Chipkarten durften deshalb auf 30 
Akzeptanzprobleme stoBen. Anzustreben ist eine Chip- 
karte fur Debit-Anwendungen, die jederzeit an einer 
Vielzahl von Aufladestationen — z. B. bei Banken, 
Handlern etc. — wieder aufgeladen werden konnen. 

Die der Erfmdung zugrundeiiegende Aufgabe ist es f 35 
ein Verfahren aufzuzeigen, das fur Guthaben in Chip- 
karten, die an einer Aufladestation immer wieder mit 
geldwerter Information geladen werden konnen, ein 
HochstmaB an Sicherheit bietet Dazu soil die Chipkarte 
jede Manipulation an der Chipkarte selbst wirksam ver- 40 
hindern und Manipulationen an den Aufbuchungs- und 
Abbuchungsstellen erkennen konnen. 

Diese Aufgabe wird durch die im Anspruch 1 angege- 
benen Merkmale gelost. 

Die Chipkarte arbeitet dabei z. B. nach einem in EP 45 
9 01 13 990.7 beschriebenen Verfahren. Fur verschiede- 
ne Anwendungen (z. B. Abbuchen, Aufbuchen) werden 
vom Kommunikationspartner in der Chipkarte gespei- 
cherte Basisfunktionen in einer jeweils in einem Proto- 
koll festgelegten Reihenfplge abgearbeitet. Die Einhal- 50 
tung der Protokollreihenfolge wird von der Chipkarte 
selbst uberwacht. Welches AnwendungsprotokoII maB- 
gebend ist, wird bei der Initialisierung der Kommunika- 
tionspartner festgelegt Die Initialisierung erfolgt nach 
erfolgter elektrischer, elektromagnetischer oder opti- 55 
scher Verbindung der Kommunikationspartner. Prak- 
tisch ist damit z. B. ausgeschlossen, daB an einer Abbu- 
chungsstelle eine Aufbuchung stattfindet und umge- 
kehrt. 

Zusatzlich wird durch eine gegenseitige oder auch 60 
einseitige Authentifikation sichergestellt, daB nur einan- 
der bekannte Kommunikationspartner miteinander Da- 
ten austauschen. Fur eine Authentifikation ist eine ein- 
deutige ldentifizierbarkeit der Kommunikationspartner 
Voraussetzung. Diese ist zum Beispie! durch Vergabe 65 
von Nummern (Chipkartennummer, Abbuchungsstel- 
lennummer, Aufbuchungsstellennummer) erreichbar. 
Des weiteren m us sen, um eine Authentifikation durch- 
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fiihren zu konnen, zwischen den Kommunikatkinspart- 
nern kryptografische Schlussel vereinbart sein. Je nach 
den technischen Moglichkeiten der einzelnen Kommu- 
nikationspartner sind diese Schlussel fur symmetrische 

5 oder asymmetrische Verschlusselung vereinbart. Bei 
symmetrischer Verschlusselung ist speziell fur jedes 
mogliche Paar von Kommunikationspartnern ein 
Schlussel vereinbart Bei asymmetrischer Verschlussel- 
ung ist jedem Kommunikationspartner ein geheimer 

0 und ein offentlicher Schlussel zugeordnet Diese Kenn- 
grbBen (spezielle Nummern und Schlussel) konnen ge- 
maB dem vorliegenden Verfahren zusatzlich zur Siche- 
rung der ladbaren Guthaben in der Chipkarte verwen- 
det werden. Es versteht sich, daB auch speziell fur diese 

> Sicherung des Guthabens Nummern und Schlussel ver- 
einbart werden konnen. Anzumerken ist auch, daB sich 
die KenngroBen nur auf die verwendeten Kommunika- 
tionspartner beziehea Ruckschlusse auf den Benutzer 
einer Chipkarte sind damit von vornherein stets ausge- 

> schlossen. 

Wird die Chipkarte mit einer Aufbuchungs- bzw. Ab- 
buchungsstelle verbunden und ist die Authentizitat der 
Kommunikationspartner festgestellt, dann fordert die 
Aufbuchungsstelle bzw. die Abbuchungsstelle das in der 
Chipkarte gespeicherte Guthaben und ein oder mehrere 
dazugehorige(s) ebenfalls gespeicherte(s) Zertifikat(e) 
an. 

Ein Zertifikat wird mit Hilfe eines Verschlusselungsal- 
gorithmus nach der Beziehung 

Zertifikat = f (Schlussel, Guthaben), 

bestimmt / 

Ein Zertifikat kann demzufolge nur von demjenigen 
Kommunikationspartner berechnet werden, der den 
Schlussel und das Guthaben kennt und den Verschliis- 
selungsalgorithmus ausfuhren kann. Dies gilt bei Ver- 
wendung eines symmetrischen Verschlusselungsalgo- 
rithmus (z. B. DES (Data-Encryption-Standard)) auch 
fur die Oberprufung des Zertifikates.. Bei Verwendung 
von asymmetrischen Verschlusselungsverfahren (z.B 
RSA) kann jeder, der den Verschlusselungsalgorithmus 
ausfuhren kann, anhand des offentlichen Schlussels und 
des Guthabens die Echtheit des Zertifikats und. damit 
die Gultigkeit des ubermittelten Guthabens uberprufen. 

Nach erfolgreichem Vergleich des aus Schlussel und ! 
Guthaben in der Aufbuchungsstelle oder Abbuchungs- 
stelle bestimmten Zertifikates mit dem aus der Chipkar- 
te angeforderten Zertifikat kann das Guthaben veran- 
dert werden. Handelt es sich beim Kommunikations- 
partner um eine Aufbuchungsstelle, so wird das Gutha- 
ben erhohu Handelt es sich um eine Abbuchungsstelle, 
dann wird das Guthaben vermindert. 

Das Guthaben mit Zertifikat kann auf unterschiedli- 
che Art und Weise veraridert werden: 

1. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
addiert bzw. subtrahiert einen Geldbetr&g zum 
Guthaben. Zu dem sich aus der Addition bzw. Sub- 
traktion ergebenden neuen Guthaben berechnet 
die Aufbuchungsstelle bzw. Abbuchungsstelle ein 
oder mehrere neue(s) Zertifikat(e). Diese(s) Zertifi- 
kat(e) ubermittelt sie gemeinsam mit dem neuen 
Guthaben zur Chipkarte. 

2. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
bestimmt wie bei 1. die/das Zertifikat(e). Das neue 
Guthaben wird aber auf der Chipkarte selbst er- 
rechneL In diesem Falle entfallt die Obertragung 
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des neuen Guthabens von der Aufbuchungsstelle 
bzw. Abbuchungsstelle zur Chipkarte. 
3. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
bestatigt der Chipkarte die Echtheit des Guthabens 
durch Ubermitteln einer entsprechenden Nach- 
richt In der Chipkarte wird dadurch eine Funktion 
angeregt, die es der Chipkarte erlaubt, das neue 
Guthaben selbst zu berechnen. und das/die neue(n) 
Zertifikat(e) selbstandig zu bestimmen. 



der Zeichnung naher erlautert. Es zeigen: 

Fig. 1 eine prinzipielle Ablaufdarstellung des erfin- 
dungsgemassen Verfahrens, 

Fig. 2 die Kommunikationspartner, die an einer spe- 
ziellen Ausfuhrungsform des Verfahrens beteiligt sind. 

Fig. 3 ein Schaubild. in dem dargestellt ist, wer in der 
speziellen Ausfuhrungsform aus Fig, 2 welches Zertifi- 
kat bestimmen kann. 
Fig. 4 ein Protokoll zum Aufbuchen des Guthabens 



a t\ k c\/ l. r 7V* rig.t cm rroioKoii zum Auroucnen des Guthabens 

4.Die Aufbuchungsstelle bzw die Abbuchungsstel- , 0 einer Chipkarte nach dem Ausfuhrungsbeispiel gemaB 
le addiert bzw. subtrahiert e men ^IHh^tracr in« o..^ e ficmao 



le addiert bzw. subtrahiert einen Geidbetrag zum 
bzw. vom Guthaben. Zum resultierenden neuen 
Guthaben bestimmt die Abbuchungsstelle wenig- 
stens ein neues Zertifikat. Dieses neue Zertifikat 
wird zur Chipkarte ubertragen. Die Chipkarte er- 
halt gemeinsam mit dem Zertifikat das neue Gutha- 
ben mitgeteilt oder errechnet es selbst. Aus dem 
neuen Guthaben und einem weiteren Schlussel be- 
stimmt die Chipkarte mindestens ein weiteres neu 
es Zertifikat. 
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Das neue Guthaben mit alien neuen Zertifikaten und 
eventuell auch die Nummern der beteiligten Kommuni- 
kationspartner wird als Buchungssatz zumindest in der 



Fig. 2 und 

Fig. 5 ein Protokoll zum Abbuchen des Guthabens 
einer Chipkarte nach dem Ausfuhrungsbeispiel gemaB 
Fig. 2. 

In Fig. 1 ist eine prinzipielle Ablaufdarstellung des 
erfindungsgemaBen Verfahrens dargestellt Neben ei- 
nem Block, der eine Chipkarte CHK reprasentiert, er- 
scheint ein Block, der eine Aufbuchungsstelle KA, HO 
bzw. eine Abbuchungsstelle FA darstellL In einer Abfol- 
20 ge von oben nach unten verlaufen mehrere Pfeile zwi- 
schen den beiden Blocken. Der erste Pfeil symbolisiert 
die Initialisierung INIT, die im AnschluB an die elektri- 
sche Verbindung der beiden Kommunikationspartner 
Oitnira^ " "u ™ hi ucr erfolgt In AnschluB an die Initialisierung INIT ist der 

Chipkarte gespeichert Aus diesem Buchungssatz kann 25 Kommunikationspartner fur die Chipkarte CHK be 
WCr ^ We . IC ? e K ™Vunikz- kannt und auf der Chipkarte kann . B^IS efn 

SSSJiT™ 1 "^ s o pe2ie!I ffir diesen ^^^SSSTS^S 

Mit dem erfindungsgemaBen Verfahren wird ein urn- £2£? 

fassender Schutz fur ladbare Guthaben auf Chipkarten 30 zwischen ^kS^^'^^^J^ 

2?™ '° nS J- gen tragbaren P«en«gern erreicht Bu- FA, KA, HO vor. Erst wenn die /SSSS^Sth 

Knml i°? nen nur gemeinsam mit authentisierten beispielsweise nach dem Challeng ^^tSS^S' 

Jen N^r r Tr rtnCm WCr " fahren ' erfolgrcich beendet ist, werden 1 D^DAT von 

den. Nur Guthaben mit nchtigen Zertifikaten werden der Chinkarte CHK ^.im ^ 

anhfndd anCrkanm h Es iSt f R ° r f * ^ergeordnete Ste.le 35 S. HolS^ ^^SSS^BSTdaT 

anhand der gespe.cherten Buchungssatze mdglich. fest- werden vorher durch einen Mess5e^2n^£I 

zustellen, wer mit wem kommuniziert hat und welcher Code MAC sesichert Der MAC wlfrf aU ° n 

Kommunikationspartner mag.icherweise manipuliert einem G^fencS SSiESSfiSSSiS 

V«3E? ein ^^ r A-^-fa-i *■ «• SglnTm "SSSlSSS^^JS^ 
Verfahrens w.rd das Guthaben ,n der Ch.pkarte in Form prufung CHEK der Qbertragenen Daten DAT anhand 

des MAC und anschlieSend des Qbertragenen Gutha- 
bens GUT anhand des Zertifikates CER. Nach erfolgrei- 
cher Uberprufung CHEK errechnet der Kommuniak- 
45 tionspartner FA, KA. HO ein neues Guthaben NGUT 
und mindestens ein dazugehdriges neues Zertifikat 
NCER. Zu diesem neuen Guthaben NGUT und dem 
neuen Zertifikat NCER errechnet der Kommunika- 

fikatezudene^ „ SS^^^S&^SS^SSlS 
ItMjrf'VwV"'* 1 ™* 11 V °u Gu, A Chein ul n mh Zer " Chi P k arte CHK bestimmt unter UmstJSS 'ein wehe! 
t fikat in der Ch.pkarte gespeichert D.e Abbuchungs- res neues Zertifikat NCER. und fflgt es den Ober^Je 

stelle vergewissert s.ch. daO ausre.chend echte Gutha- nen Daten an. Der Auf- oder Abbuchungs^rga^ ist 

ben ,n der Ch.pkarte gespeichert sind. indem sie die damit beendet und die Chipkarte Sk kann wlfde" 

Zert.fika e m.t e.nem passenden offentlichen Schlussel 55 vom Kommunikationspartner FA. K™HO geTrennJ 

uberpruft. Zur Verringerung des Guthabens auf der werden gctrennt 

Qhipkarte werden lediglich eine entsprechende Anzahl Fig. 2 zeigt die Komponenten. die bei einer speziellen 

Gutsche.ne auf der Ch.pkarte ungult.g gemacht. Ausfuhrungsform des Verfahrens bendtigt weSen Die- 

ka Sn C ^ ,ldUnggeWa ^ Ie L Stet,daB „ aUfderChip - se s P ezielle Ausfuhrungsform beschre bt dfe vJrwS- 

rn^n a 'If . e K n i Sle i en rK a 1 n - da ° k ? " e gChei - 60 dungder Chipkarte CHK zum Kauf von FahrScheinen T 

men Schlussel auBerhalb der Aufbuchungsstelle vorhan- f Qr offentliche Verkehrsmittel. Ein Kunde KU St Besit- 

den se.n mussen. und dennoch ausre.chend gesicherte zer einer Chipkarte CHK. Urn diese Chipkarte CHK mi t 

uberprOfbare Guthaben auf der Chipkarte gespeichert einem Geidbetrag BETR zu Sn. bSbT« -IS™ 

werden konnen. ■■-,„: einem Handler. Dieser Handler verfugt uber eine Hand- 

We.tere Ausgesta Itungen und We.terb.ldungen des 65 lerkasse KA. die uber eine Datenubertragungsleitung 

erfindungsgemaBen Verfahrens s.nd m weiteren Unter- DO mit einem Host-Rechner HO verbindbar ist. Die 

anspruchen angegeben. Handlerkasse KA und der Host-Rechner HO verkdr- 

Ein Ausfuhrungsbeispiel der Erf.ndung wird anhand pern die Aufbuchungsstelle. Nach erfolgter Aufbuchung 



\ ™- ""WM«wv»u»iauciim uci ^nipitane in rorm 

einpr Mehrzahl von Gutscheinen eines bestimmten No- 
minalwertes gespeichert Jedem Gutschein wird ein Zer- 
tifikat angefiigt. Bei dieser Ausfuhrungsform eignet sich 
die Verwendung eines asymmetrischen Verschlussel- 
ungsverfahrens zur Zertifikatbestimmung besonders 

gUL 

Die Aufbuchungsstelle erzeugt mit einem geheimen 
Schlussel der auch kartenspezifisch sein kann, die Zerti- 
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der Chipkarte CHK erhalt der Kunde KU ein Journal J, 
auf dem der Handler die Aufbuchung des Geldbetrages 
BETR auf der Chipkarte CHK bestatigt Mit dieser 
Chipkarte CHK kann nun der Kunde KU bei jedem, 
dem offentlichen Verkehrssystem zugehorigen Fahr- 5 
scheinautomaten FA einen Fahrschein T erwerben. Der 
Fahrkartenautomat FA verkorpert dabei die Abbu- 
chungsstelle. Der Fahrkartenautomat FA arbeitet Off- 
Line. 

Die Sicherung der Guthaben GUT auf den zu dem in 10 
Fig. 2 dargestellten offentlichen Verkehrssystem geho- 
rtgen Chipkarten CHK wird in Fig. 3 veranschaulicht 
Jedem Guthaben GUTX, GUTY werden zwei vom Gut- 
haben GUTX. GUTY abhangige Zertifikate CER(X) 
CHKA, CER(X)FA bzw. CER(Y)CHKB, CER(Y)FA an- 15 
gefugt Durch Pfeile ist in Fig. 3 verdeutlicht, welcher 
Kommunikationspartner CHKA, CHKB. HO, FA wel- 
ches Zertifikat CER bestimmen kann. Demnach ist der 
Host-Rechner HO in der Lage, samtliche Zertifikate 
CER zu bestimmen. Der Fahrscheinautomat FA kann 20 
die Fahrkartenautomatenzertifikate CER(X)FA, 
CER(Y)FA bestimmen, und jede Chipkarte CHKA bzw. 
CHKB kann jeweils nur ihr kartenspezifisches Zertifikat 
CER(X)CHKA bzw.CER(Y)CHKB bestimmen. 

Im einzelnen werden die Zertifikate CER durch fol- 25 
gende Gleichungen bestimmt: 

CER(X)CHKA = f(K(A),GUTX) 
CER(Y)CHKB « f(K(B), GUTY) 

CER(X)FA = f(K(FA).GUTX) 30 
CER(Y)FA = f(K(FA), GUTY) 

In diesem hier beispielhaft aufgezeigten symme- 
trischen Verschlusselungsverfahren werden geheime, 
jeweils zwischen zwei Kommunikationspartnern gultige 35 
Schlussel K verwendet. Die Schlussel K fur die karten- 
spezifischen Zertifikate CER(X)CHKA bzw. 
CER(Y)CHKB ihrerseits werden durch eine sogenannte 
Einwegfunktion g (keine Umkehrfunktion vorhanden) 
aus einern geheimen Schlussel K' einer Chipkartennum- 40 
mer CHKNR nach der Beziehung 

K(A) - g(KXHKNR(A)) 
K(B) » g(KXHKNR(B)) 

45 

gebildet. 

Die geheimen Schlussel K' konnen jeweils fur mehre- 
re Chipkarten CHK identisch sein. Die Einwegfunktion 
g muB nicht in jedem Kommunikationspartner ausge- 
fuhrt werden. Es genugt, wenn lediglich der Host-Rech- 50 
ner HO diese Einwegfunktion g ausfuhren kann. In den 
Chipkarten CHK kann jeweils der Chipkartenschlussel 
K(A), K(B) direkt gespeichert und verwendet werden. 

Urn einen weitergehenden Schutz des Guthabens 
GUT zu erzielen. z. B. einen Schutz gegen Wiederein- 55 
spielen des Automatenzertifikates CER(X)FA, 
CER(Y)FA, kann dieses Zertifikat CER(X)FA, 
CER(Y)FA, auch kartenspezifisch nach folgender Glei-. 
chung bestimmt werden: 

CER'(X)FA = F(K(FA). GUTX, CHKNR(A)) 60 
CER'(Y)FA = F(K(FA), GUTY, CHKNR{B)) 

Anhand der Fig- 4a bis 4g werden im folgenden die 
Verfahrensablaufe beim Aufbuchen einer Chipkarte 65 
CHK, die in einem System gemaB den Fig. 2 und 3 ver- 
wendet wird, dargelegt Der Verfahrensablauf ist eine 
Abfolge einzelner Funktionen. Die am Aufbuchungs- 
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vorgang beteiligten Systemkomponenten sind: 

— eine Chipkarte CHK 

— eine Handlerkasse KA mit Sicherheitsmodul 
KASM 

— ein Host-Rechner HO mit Sicherheitsmodul 
HOSM. 

Die Sicherheitsmodule KASM bzw. HOSM sind be- 
sonders geschutzte Bereiche innerhalb der Handlerkas- 
se KA bzw. des Host-Rechners HO. Fur jede System- 
komponente ist in der Figur eine Spalte vorgesehen. Da 
die Handlerkasse KA sowohl mit dem Host-Rechner 
HO ais auch mit der Chipkarte CHK kommuniziert, sind 
fur die Handlerkasse KA aus Grunden der Obersicht- 
lichkeit zwei Spalten vorgesehen. Jede Funktion wird 
durch einen rechteckigen Rahnien symbolisiert Die 
Funktionen sind fortlaufend numeriert. Ein Pfeil ober- 
halb des rechteckigen Rahmens zeigt, aus welcher Sy- 
stemkomponente die Eingangsdaten der Funktion stam- 
men. Ein Pfeil unterhalb des rechteckigen Rahmens 
zeigt an, wem die Ausgangsdaten der Funktion ubermit- 
telt werden. 

Anhand der Funktionsnumerierung wird der Verfah- 
rensablauf nun stichwortartig beschrieben: 

A: Initialisierung 

1. Chipkarte CHK und Handlerkasse KA werden in 
einen Grundzustand RES versetzt. 
Z Die Handlerkasse KA bestimmt ein Anwen- 
dungsdatenfeld ADF (Application Data Field). Da- 
durch wird das maBgebliche Protokoll SELPRO in 
der Chipkarte CHK gewahlt. Die Chipkarte CHK 
quittiert dies durch Obertragen eines Statussignals 
STA. 

3. Die Handlerkasse KA ubermittelt eine Block- 
nummer BNR(A). Dadurch wird eine bestimmte 
Speicherstelle in der Chipkarte CHK durch die 
Funktion READ gelesen. Die Chipkarte CHK 
ubermittelt die gelesene Kartennummer CHKNR 
an die Handlerkasse KA. 

4. Die Handlerkasse KA ubertragt eine Blocknum- 
mer BNR(D). Dadurch wird ein Buchungszahler- 
stand BZ in der Chipkarte CHK gelesen und zur 
Handlerkasse KA Obertragen. 

5. Die Handlerkasse KA ubermittelt dem Handler- 
kassensicherheitsmodul KASM einen Anwen- 
dungsnamen AN. Dadurch wird ein Protokoll SEL- 
PRO gewahlt Das Handlerkassensicherheitsmodul 
KASM quittiert durch ein Statussignal STA. 

B: Gegenseitige Authentifikation AUTH, Chipkarte 
CHK — Handlerkasse KA 

6. Das Handlerkassensicherheitsmodul KASM ge- 
neriert eine erste Zufallszahl V. 

7. Die Handlerkasse KA ruft mit dem Signal CALA * 3 
und der Obertragung der ersten Zufallszahl V eine %' 
Funktion CALAP zur Berechnung eines Anerken- | 
nungsparameters AP auf. Dieser Anerkennungspa- :| 
rameter AP wird von der Chipkarte CHK zur.'g 
Handlerkasse KA Obertragen. 

8. Die Handlerkasse KA ruft durch die Obertra- 
gung des Signals CALA, der Chipkartennummer ; 
CHKNR und des Anerkennungsparameters AP ek 
ne Funktion AUTHCHK zur Authentifikation der 
Chipkarte CHK im Kassensicherheitsmodul 
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KASM auf. Das Kassensicherheitsmbdul KASM 
quittiert die Richtigkeit des Anerkennungsparame- 
tersAP. 

9. Die Chipkarte CHK erzeugt mit Hilfe ihres Zu- 
fallsgenerators GENRAN eine zweite Zufallszahl 5 
V' und Qbertragt diese an die Handlerkasse KA. 

10. Die Handlerkasse KA Qbertragt ein Signal CA- 
LA und die zweite Zufallszahl V an das Handler- 
kassenmodul KASM. Dadurch wird die Funktion 
zur Berechnung des Anerkennungsparameters AP' io 
aufgerufen, dieser Anerkennungsparamter AP' 
liegt der Handlerkasse KA vor. 

1 1. Die Handlerkasse KA ubertragt ein Signal CA- 
LA und den zweiten Anerkennungsparameter AP' 
an die Chipkarte CHK. Dadurch wird eine Funk- i 5 
tion AUTHKA zur Authentifikation AUTH der 
Handlerkasse KA aufgerufen. Die Chipkarte CHK 
bestatigt die Richtigkeit des zweiten Anerken- 
nungsparameters AP' durch eine Quittung OK. 

20 

C: Herstellen der On-Line-Verbindung zum 
Host-Rechner HO 

12. Die Handlerkasse KA Qbertragt eine Block- 
nummer BNR(C) an die. Chipkarte CHK. Dadurch 25 
wird die Lesefunktion READ aufgerufen und das 
aktuelle Guthaben GUT und das Zertifikat CERFA 
an die Handlerkasse KA ubertragen. 

13. Die Handlerkasse KA Qbermittelt ein Signal 
CALM und Daten DATl, die mindestens das Gut- 30 
haben GUT und das fahrscheinautomatenspezifi- 
sche Zertifikat CERFA umfassen an das Handler- 
kassensicherheitsmodul KASM. Dadurch wird eine 
Funktion CALM AC zur Berechnung eines Messa- 
ge Authentificationcodes MAC gestarteL Der 35 
MAC und die Daten DATl werden zum Host- 
Rechner HO ubertragen. 

14. Im Host-Rechner-Sicherheitsmodul HOSM 
wird durch Ubertragung des Anwendungsnamens 
AN das ProtokoII SELPRO gewahlt Das Host- 40 
Rechner-Sicherheitsmodul HOSM quittiert es 
durch ein Statussignal STA. 

15. Der Host-Rechner HO ubertragt cin Signal 
CALK und eine Handlernummer KANR an das 
Handlerkassensicherheitsmodul HOSM. Dadurch 45 
wird eine Schlusselberechnungsfunktion CALKEY 
gestartet. Nach erfolgreicher Abarbeitung der 
Funktion CALKEY erhalt der Host-Rechner HO 
eine Quittung OK. 

16. Obertragung eines Signals CHECKM und der 50 
Daten DATl zum Host-Rechner-Sicherheitsmodul 
HOSM. Dadurch Aufruf einer Oberprufungsfunk- 
tibn CHECKMAC fur den MAC und Quittung OK 
an Host-Rechner HO. 

17. Generierung einer Zufallszahl V im Zufallszah- 55 
lengenerator GENRAN des Host-Rechner-Sicher- 
heitsmoduls HOSM und Obertragung der Zufalls- 
zahl V an die Handlerkasse KA. 

18. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY im Handlerkassensicherheitsmodul KASM 60 
durch Obertragung eines Signals CALK und der 
Chipkartennummer CHKNR von der Handlerkas- 
se KA zum Handlerkassensicherheitsmodul KASM 
sowie Quittung OK an Handlerkasse KAl 

19. Obertragung des Signals CALM und eines 6 5 
Geidbetrags BETR von der Handlerkasse KA zum 
Handlerkassensicherheitsmodul KASM. Dadurch 
Start der Funktion CALMAC zur Berechnung ei- 
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nes MAC und Obertragung des MAC an die Hand- 
lerkasse KA. 

20. Obertragung des Signals CHECKM, des Geid- 
betrags BETR und des MAC von der Handlerkasse 
KA zur Chipkarte CHK. Dadurch Start der Ober- 
prufungsfunktion CHECKMAC fur MAC und 
Quittung OK an Handlerkasse KA. 

D: Gegenseitige Authentifikation AUTH. Handlerkasse 
KA - Host-Rechner HO 

21. Funktion CALAP zur Berechnung des Anerken- 
nungsparameters AP wird durch das Signal CALA 
und die Zufallszahl V aufgerufen. 

22. Im Handlerkassensicherheitsmodul KASM wird 
eine Zufallszahl V generiert und gemeinsam mit 
dem Anerkennungsparameter AP zum Host-Rech- 
ner HO ubertragen. 

23. Funktion AUTHKA im Host-Rechner-Sicher- 
heitsmodul HOSM wird durch das Signal CALA 
die Handlerkassennummer KANR und den Aner- 
kennungsparameter AP aufgerufen. Es erfolet 
Quittung OK. 

24. Durch das Signal CALA und die Zufallszahl V 
wird Funktion CALAP zur Berechnung eines wei- 
teren Anerkennungsparameters AP' gestartet. 

25. Im Host-Rechner-Sicherheitsmodul HOSM 
wird eine weitere Zufallszahl V erzeugt und ge- 
meinsam mit dem Anerkennungsparameter AP' an 
die Handlerkasse KA ubertragen. 

26. Durch das Signal CALA und den Anerken- 
nungsparameter AP' wird im Handlerkassensicher- 
heitsmodul KASM die Funktion AUTHHO zur Au- 
thentifikation des Host-Rechners HO gestartet. 
Quittung OK an Handlerkasse KA. 

E: Gegenseitige Authentifikation AUTH, Chipkarte 
CHK — Host-Rechner HO 

27. Start der Funktion CALAP durch Obertragung 
des Signals CALA und der vom Host-Rechner HO 
erzeugten Zufallszahl V an die Chipkarte CHK. 
Ubertragung des Anerkennungsparameters AP an 
Handlerkasse KA. 

28. Zufallszahiengenerator GENRAN der Chipkar- 
te CHK generiert eine Zufallszahl V. Diese wird 
uber die Handlerkasse KA gemeinsam mit dem An- 
erkennungsparameter AP zum Host-Rechner HO 
ubertragen. 

29. Funktion AUTHCHK zur Authentifikation der 
Chipkarte CHK im Host-Rechner-Sicherheitsmo- 
dul HOSM wird durch das Signal CALA, die Chip- 
kartennummer CHKNR und den Anerkennungs- 
parameter AP gestartet Quittung OK an Host- 
Rechner HO. 

30. Funktion CALAP zur Berechnung eines neuen 
Anerkennungsparameters AP' wird durch das Si- 
gnal CALA und die Zufallszahl V gestarteL 
Uberprufung, ob eine Sperre SP fur die Chipkarte 
CHK vorhegt; wenn ja: Fortsetzung mit den Schrit- 
ten Nummer 32a -32f. Andernfalls Obertragung 
des Anerkennungsparameters AP' an Handlerkas- 
se KA. 

31. Funktion AUTHHO zur Authentifikation des 
Host-Rechners HO wird durch das Signal CALA 
und den Anerkennungsparameter AP' in der Chip- 
karte CHK gestartet, Quittung OK an Handlerkas- 
se. Fortsetzung mit Schritt Nummer 33. 
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F: Abbruch der Anwendung bei vorliegender Sperre SP 
fur Chipkarte CHK 

32a, Generierung einer Zufallszahl V» im Host- 
Rechner-Sicherheitsmodul HOSM und Obertra- 5 
gung dieser Zufallszahl V* und des zuletzt errech- 
neten Anerkennungsparameters AP' an Handler- 
kasse KA. 

32b. Aufruf der Funktion CHKSP zum Sperren der 
Chipkarte durch Obertragen des Anerkennungspa- 10 
rameters AP' und der Zufallszahl V* an die Chip- 
karte CHK. Chipkarte ubertragt daraufhin einen 
weiteren Anerkennungsparameter AP» an Host- 
Rechner HO. 

32c Aufruf der Funktion AUTHCHK zur Authen- 15 
tifikation AUTH der Chipkarte CHK durch das Si- 
gnal CALA und den Anerkennungsparameter AP: 
Quittung OK an Host-Rechner HO. 
32d Obertragung der Quittung OK an Handlerkas- 
se und Beenden der Anwendung CLPRO im Host- 20 
Rechner HO. 

32e. Beenden der Anwendung CLPRO in der Hand- 
lerkasse KA, Abgabe eines Quittungssignals OK an 
Chipkarte CHK. 

32f. Beenden der Anwendung CLPRO in der Chip- 25 
karteCHK. 

G: Oberpriifung des Guthabens GUT im Host- Rechner 

HO 

30 

33. Die Schritte 32a — 32f wurden ausgelassen, die 
Handlerkasse ubertragt Blocknummern BNR(B), 
BNR(C) an die Chipkarte CHK. In der Chipkarte 
werden Daten DAT2, die das Guthaben GUTH, ein 
kartenspezifisches Zertifikat CERCHK und ein 35 
fahrscheinautomatenspezifisches Zertifikat CER- 
FA umfassen, gelesen und ein MAC dazu erstellt 
DAT2 und MAC werden an die Handlerkasse KA 
Obertragen. 

34. Im Zufallsgenerator GENRAN der Chipkarte 40 
CHK wird eine Zufallszahl V erzeugt und an die 
Handlerkasse KA Obertragen. Die Handlerkasse 
KA Ubertragt die Daten DAT2, den MAC und die 
Zufallszahl V an den Host-Rechner HO. 

35. Aufruf der Schlusselberechnungsfunktion GAL- 45 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR Quittung OK an Host-Rechner 
HO. 

36. Aufruf der Oberprufungsfunktion CHECK- 
MAC durch Obermittlungssignal CHECKM, die 50 
Daten DAT2 und den MAC Quittung OK an Host- 
Rechner HO. 

37. Aufruf der Funktion CHECKCER zur OberprO- 
fung des Fahrkartenautomatenzertifikates CERFA 
durch Obermittlung eines Signals CHECKC, durch 55 
das Guthaben GUT und das Zertifikat CERFA. 
Quittung OK an Host-Rechner HO. 

38. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR Quittung OK an Host-Rechner 60 
HO. 

39. Aufruf der Oberprufungsfunktion CHECKCER 
fur das chipkartenspezifische Zertifikat CERCHK 
durch Obermittlung des Signals CHECKC durch 
das Guthaben GUT und das Zertifikat CERCHK. 65 
Quittung OK an Host-Rechner HO. 
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H: Erstellen des neuen Guthabens NGUT 

40. Aufruf einer Zertifikatsberechnungsfunktion 
CALCER durch ein Signal CALC und des neue 
Guthaben NGUT. Neues Fahrkartenautomatenz- 
ertifikat NCERFA an Host-Rechner HO. 

41. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an Host Rechner 
HO. 

42. Aufruf der Zertifikatsberechnungsfunktion 
CALCER durch das Signal CALC und das neue 
Guthaben NGUT. Obertragung des neuen chipkar- 
tenspezifischen Zertifikats NCERCHK an Host- 
Rechner HO. 

43. Aufruf Schlusselberechnungsfunktion CAL- 
KEY durch Signal CALK und Chipkartennummer 
CHKNR. Quittung OK an Host-Rechner HO. 

44. Aufruf Funktion CALM AC zur Berechnung des 
MAC durch das Signal CALM der mit Position 34 
von der Chipkarte CHK zum Host-Rechner HO 
ubermittelten Zufallszahl V und die Daten DAT3, 
die unter anderem die beiden neuen Zertifikate 
NCERCHK und NCERFA umfassen. Der errech- 
nete MAC und die Daten DAT3 werden an die 
Handlerkasse KA Qbermittell 

I: Chipkarte CHK aufbuchen und Anwendung beenden 

45. Aufruf der Oberprufungsfunktion CHECK- 
MAC zur Oberprufung des MAC durch das Signal 
CHECKM, die Daten DAT3 und den MAC. An- 
schlieGend Speichem des neuen Guthabens NGUT 
und der beiden neuen Zertifikate NCERFA, 
NCERCHK. Quittung OK an Handlerkasse KA 
und Host-Rechner HO. 

46. Aufruf der Funktion "Anwendung beenden" 
CLPRO im Host-Rechner HO, in der Handlerkasse 
KA und in der Chipkarte CHK. 

Anhand der Fig. 5a bis 5d wird im folgenden der Ver- 
fahrensablauf beim Abbuchen des Guthabens GUT ei- 
ner Chipkarte CHK, die in einem System gemaB den 
Fig. 2 und 3 verwendet wird, dargelegt. Der Verfahrens- 
ablauf ist, wie beim Aufbuchen, eine Abfolge einzelner 
Funktionen. Die am Abbuchungsvorgang beteiligten ' 
Systemkomponenten sind: 

— eine Chipkarte CHK 

— ein Fahrscheinautomat FA mit Sicherheitsmodul 
FASM. 

Der Aufbau der Figur entspricht im Prinzip der Fig. 4. 
Anhand der Funktionsnumerierung wird der Verfah- 
rensablauf nun stichwortartig beschrieben: 

A: Iriitialisierung INIT 

1. Reset zur Erreichung des Grundzustandes RES 
in Chipkarte CHK und Fahrscheinautomat FA. 

2. Aufruf eines Protokolls SELPRO durch Obermit- 
teln eines Anwendungsdatenfeldes ADF an die 
Chipkarte CHK, Ouittung durch Statussignal STA 
an Fahrkartenautomat FA. 

3. Aufruf des Protokolls SELPRO im Fahrkarten- 
automat FA durch den Anwendungsnamen AN. 
Quittung durch Statussignal STA. 

4. Obertragung einer Blocknummer BNR(A) zur 
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Chipkarte CHK. in der Lesefunktion READ akti- 
viert wird. Obertragung der Chipkartennummer 
CHKNRan Fahrkartenautomat FA. 

B: Authentifikation AUTH 

5. Generierung einer Zufallszahl V in Fahrkarten- 
automaten FA. 

6. Aufruf der Funktion CALAP zur Berechnung des. 
Anerkennungsparameters AP. , 

7. Aufruf der Funktion AUTHCHK zur Authentifi- 
kation AUTH der Chipkarte CHK durch das Signal 
CALA, die Chipkartennummer CHKNR und den 
Anerkennungsparameter AP. Quittung OK an 
Fahrkartenautomat FA. I; 

8. Geneneren einer Zufallszahl V in der Chipkarte 
CHK. 

9. Aufruf der Funktion CALAP zur Berechnung des 
Anerkennungsparameters AP' mit Hilfe des Signals 
CALA und der Zufallszahl V. ^ 

10. Aufruf der Funktion AUTHFA zur Authentifi- 
kation AUTH des Fahrkartenautomat en FA durch 
das Signal CALA und den Anerkennungsparame- 
ter AP' in der Chipkarte CHK. Quittung OK an 
Fahrkartenautomat FA. 25 

11. Generierung einer Zufallszahl V mit Hilfe der 
Funktion GENRAN im Fahrkartenautomat FA. 

12. Obertragung einer Blocknummer BNR(C) und 
der Zufallszahl V an die Chipkarte CHK. Funktion 
READ Iiest Guthaben GUT und Fahrkartenauto- 30 
matenzertifikat CERFA aus und berechnet dazu 
einen MAC. GUT, CERFA und MAC werden an 
Fahrkartenautomat FA ubermittelL 

13. Aufruf der Schlussel berechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 35 
nummer CHKNR. Quittung OK an Fahrkartenau- 
tomat FA. 

14. Aufruf der OberprOfungsfunktion CHECK- 
MAC fur den MAC durch das Signal CHECKM, 
das Guthaben GUT, das Fahrkartenautomatenzer- 40 
tifikat CERFA und den MAC Quittung OK an den 
Fahrkartenautomaten FA 

15. Aufruf der OberprOfungsfunktion CHECKCER 
durch das Signal CHECKC, Quittung OK von 
Fahrkartenautomatensicherheitsmodul FASM an 45 
Fahrkartenautomat FA, Anzeige .von Guthaben 
GUT am Display des Fahrkartenautomaten FA, 
Auswahl der Fahrscheinart durch den Kunden KU, 
Bestatigung durch den Kunden KU. 

16. Aufruf einer Berechnungsfunktion CALGUT 50 
durch das Signal CALG und den Geldbetrag BETR. 
Nach Abarbeiten der Funktion liegt das neue Gut- 
haben NGUTim Fahrkartenautomaten FA vor. 

17. Aufruf Zertifikationsberechnungsfunktion 
CALCER durch das Signal CALC und des neue 55 
Guthaben NGUT. Es liegt das neue Fahrkartenau- 
tomatenzertifikat NCERFA vor. 

18. Aufruf der Funktion CALMAC durch das Signal 
CALM, das neue Zertifikat NCERFA, die Fahrkar- 
tenautomatennummer FANR, das aktuelle Datum eo 
DATU und das neue Guthaben NGUT. MAC liegt 
im Fahrkartenautomaten FA vor. 

19. Aufruf der OberprOfungsfunktion CHECK- 
MAC in der Chipkarte CHK durch Obermitteln des 
Signals CHECKM, des neuen Zertifikats NCERFA, 6 5 
der Automatennummer FANR, des aktuellen Da- 
tums DATU und des neuen Guthabens NGUT. 
Quittung OK an Fahrkartenautomat FA. 
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20. Aufruf eines Plausibilitatstestes PLAU anhand 
des Guthabens GUT und des neuen Guthabens 
NGUT (NGUT muB kleiner sein als GUT), Quit- 
tung OK. 

21. Aufruf der Berechnungsfunktion CALCER zur 
Berechnung des neuen chipkartenspezifischen Zer- 
tifikates NCERCHK durch das Signal CALC, an- 
schlieBend Speichern der Buchung in Chipkarte 
CHK und Fahrkartenautomat FA. 

22. Beenden der Anwendung durch Ablauf der 
Funktion CLPRO im Fahrkartenautomaten FA und 
in der Chipkarte CHK. 

Patentanspruche 

1. Verfahren zur Sicherung von ladbaren Guthaben 
in fur Debitanwendungen benutzte Chipkarten. die 
mit Abbuchungs- und Aufbuchungsstellen uber de- 
finierte, bei einer Initialisiemng der Kommunika- 
tionspartner ausgewahlte Protokolle nach erfolgter 
Authentifikation kommunizieren, mit folgenden 
Ve rf ahrensschri tten : 

a) Obermitteln eines Datenblocks (DAT) von 
der Chipkarte (CHK) zur Abbuchungsstelle 
(FA) bzw. Aufbuchungsstelle (KA, HO), der 
sich mindestens zusammensetzt aus 

aa) einem auf der Chipkarte (CHK) ge- 
speicherten Guthaben (GUT) 

ab) und mindestens einem, durch einen 
Verschlusselungsalqorithmus aus zumin- 
dest einem zwischen den moglichen Kom- 
munikationspartnern gultigen Schlussel 
(K) und dem Guthaben (GUT) bestimm- 
ten Zertifikat (CER) 

b) Uberprufen der Gultigkeit des Qbertrage- 
nen Guthabens (GUT) durch die Aufbu- 
chungsstelle (KA, HO) bzw. Abbuchungsstelle 
(FA) mit Hilfe mindestens eines Zertifikates 
(CER) 

c) Erstellung eines neuen Guthabens (NGUT) 
durch Subtraktionbzw. Addition eines Geldbe- 
trages (BETR) zum ubermittelten Guthaben 
(GUT) 

d) Bestimmung mindestens eines neuen Zertifi- 
kats (NCER) mit Hilfe des Verschlusselungsal- 
gorithmus aus zumindest einem zwischen den 
moglichen Kommunikationspartnern gultigen 
Schlussel (K) und dem neuen Guthaben 
(NGUT) 

e) Speichern des neuen Guthabens (NGUT) 
Oder einer entsprechenden Information und 
des neuen Zertifikates (NCER) zumindest in 
der Chipkarte (CHK). 

2. Verfahren zur Sicherung nach Anspruch 1, da- 
durch gekennzeichnet, daB vor jeder Datenuber- 
mittlung fur jeden zu ubermittelnden Datenblock 
(DAT) ein Message-Authentifikation-Code (MAC) 
gebildet und anschlieBend zusammen mit dem Da- 
tenblock (DAT} an den Kommunikationspartner 
ubermittelt wird. 

3. Verfahren zur Sicherung nach einem der Anspru- 
che 1 oder 2, dadurch gekennzeichnet, daB zum 
Aufbuchen des Guthabens (GUT) auf der Chipkar- 
te (CHK) die Chipkarte (CHK) mit einem Aufbu- 
chungsterminal (KA) verbunden wird, daB nach 
dem Initialisierungsvorgang (INIT) das Aufbu- 
chungsterminal (KA) On- Line mit einem Host- 
Rechner (HO) verbunden wird, und daB die Ober- 
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prufung des Guthabens (GUT) im Host-Rechner 
(HO) erfolgt 

4. Verfahren zur Sicherung nach Anspruch 3, da- 
durch gekennzeichnet, dafl der Host-Rechner (HO) 
die/das neue(n) Zertifikat(e) (NCER) zum neuen 5 
Guthaben (NGUT) bestimmt. 

5. Verfahren zur Sicherung nach einem der vorher- 
gehenden Anspruche 3 oder 4, dadurch gekenn- 
zeichnet, daB zwischen jeder Chipkarte (CHK) und 
dem Host-Rechner (HO) ein Chipkartenschlussel jo 
(K(A), K(B)) und zwischen den Abbuchungsstellen 
(FA) und dem Host-Rechner (HO) ein Abbu- 
chungsschlussel (K(FA)) zur Bestimmung eines 
Zertifikates (CER) vereinbart sind, und daB jedem 
Guthaben (GUT) ein mit Hilfe des Chipkarten- 15 
schliissels (K(AX K(B)) bestimmtes erstes Zertifikat 
(CERCHK) und ein mit Hilfe des Abbuchungs- 
schlussels (K(FA)) bestimmtes zweites Zertifikat 
(CERFA) angefugt wird. 

6. Verfahren zur Sicherung nach Anspruch 5, da- 20 
durch gekennzeichnet, daB beim Abbuchungsvor- 
gang das zweite neue Zertifikat (NCERFA) durch 
die Abbuchungsstelle (FA) bestimmt wird und daB 
das erste neue Zertifikat (NCERCHK) durch die 
Chipkarte (CHK) bestimmt wird. 25 

7. Verfahren zur Sicherung nach einem der vorher- 
gehenden Anspruche, dadurch gekennzeichnet, daB 
nach jeder Aufbuchung oder Abbuchung eines 
Guthabens (GUT) ein Quittungsdruck (T, J) erstellt 
wird 30 

8. Verfahren zur Sicherung nach einem der Anspru- 
che 1 bis 4, dadurch gekennzeichnet, daB das Gut- 
haben (GUT) in der Chipkarte (CHK) in Form ei- 
ner Mehrzahl von Gutscheinen eines bestimmten 
Nominalwertes gespeichert wird, und daB jedem 35 
Gu tschein ein Zertifikat (CER) angefugt wird. 

9. Verfahren zur Sicherung nach Anspruch 8, da- 
durch gekennzeichnet, daB die Abbuchungsstelle 
(FA) jeweils eine vom abzubuchenden Geldbetrag 
(BETR) bestimmte Menge Gutscheine auf der 40 
Chipkarte (CHK) ungultig machL 

10. Verfahren zur Sicherung nach einem der vor- 
hergehenden Anspruche, dadurch gekennzeichnet, 
daB vor dem Erstellen eines neuen Guthabens 
(NGUT) eine Sperrdatei abgefragt wird. 45 
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